IT基础架构规划方案专项方案一Word格式文档下载.docx
- 文档编号:16298894
- 上传时间:2022-11-22
- 格式:DOCX
- 页数:14
- 大小:1.46MB
IT基础架构规划方案专项方案一Word格式文档下载.docx
《IT基础架构规划方案专项方案一Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IT基础架构规划方案专项方案一Word格式文档下载.docx(14页珍藏版)》请在冰豆网上搜索。
网络设计便于升级,有利于投资保护。
企业通常组网结构以下图,大企业网络关键层通常采取冗余节点和冗余线路拓扑结构,小企业则单线路连接方法。
经过对通常企业信息化情况和网络计划要素进行分析,从总体上看,计划方案必需含有以下特点:
网络管理简单,采取基于易用浏览器方法,以直观图形化界面管理网络。
用户能够采取多个广域网连接方法,从而降低广域网链路费用。
无线接入点覆盖范围广、配置灵活,方便移动办公。
便捷、简单统一通信系统,轻松实现交互式工作环境。
带宽压缩技术,高级QoS应用,有效降低广域网链路流量。
伴随企业业务发展,全部网络设备均可在升级原有网络后继续使用,有效实现投资保护。
系统安全,保密性高,应用了适合企业低成本网络安全处理方案。
安全基础网络计划方案
依据对某集团实际调研,获取了企业网络需求,以此来制订企业基础网络建设计划方案和网络设备选型参考;
以下提供基础版和企业版两种计划方案
1)网络需求:
企业计划网络节点为500个,关键网络需求首先是资源共享,网络内各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中各项功效;
其次是通信服务,最终用户经过广域网连接能够收发电子邮件、实现Web应用、接入互联网、进行安全广域网访问;
还有就是企业门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)建立。
2)基础版计划方案
本方案适适用于200~300台电脑联网,关键采取H3CS5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤和接入交换机及服务器连接;
用户接入H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连关键交换机。
Internet出口采取H3CMSR20-1X多业务路由器作为Internet出口路由、SecpathF1000-C或UTM作为安全网关和移动用户VPN接入网关。
网络拓扑图以下:
设备选型和布署参考以下:
业务
需求
设备选型参考
配置说明
数量
布署位置
数据
关键交换机
H3CS5500-28C-SI
或H3CS5500-20TP-SI
全千兆三层关键
1
关键机房
接入层交换机
H3CS3100-26TP-SI
或H3CS3100-52TP-SI
接入层支持光电复用千兆上行,
支持混合堆叠
26TP:
15台
52TP:
8台
各楼层或机房
路由器
H3CMSR20-1x路由器
转发率160Kpps,256M内存,支持GE/FE交换模块,同异步串口模块,E1/PRI模块,语音模块,加密模块
1~2
安全
防火墙
H3CSecPathF1000-C或H3CSecPathU200
支持应用层报文过滤
VPN
支持DVPN
互联网接入
10M光纤接入
电信10M光纤接入
配静态IP地址
方案特点:
高性价比:
能够让中小企业低投资拥有高性能、经济网络;
简易性:
结构简单、安装快速、简单,维护无需配置专职人员;
高性能:
最低投资做到千兆骨干、百兆接入;
可扩展性:
灵活网络架构,能依据用户需要随时扩展,并保护已经有投资。
3)高级版计划方案:
本方案适适用于500~800台电脑联网,三层网络结构,万兆骨干,百兆接入;
网络关键层采取H3CS7500交换机,同时配置对应数量千兆端口分别连接应用服务器、接入交换机及其它设备;
网络汇聚层采取H3CS5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96Gbps全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置愈加好可用性和弹性;
接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连关键交换机,或H3CS5100-16/24/48P-SI全千兆交换机,千兆到桌面。
H3CS7500(E)系列
关键支持双引擎双电源,性价比最高
汇聚层交换机
汇聚支持全千兆高速转发,消除网络瓶颈,同时支持万兆扩展
3
H3CS3100-26/52TP-SI
或
H3CS5100-16/24/48P-SI
接入层依据不一样业务需求提供百兆和千兆接入两种选择
10台
H3CMSR50-06路由器
H3C新一代安全路由器
H3CSecPathF1000-C
20M~50M光纤接入
电信20M~50M光纤接入
高性能,全分布式交换网络;
高可靠,无间断通信环境;
灵活弹性网络扩展能力;
高效率网络带宽利用率;
全方面QOS布署,多业务融合;
完善网络安全策略,实现深度安全检测,抵御未知风险。
安全无线网络计划方案
无线网络布署,能够增大职员接入网络范围,提供更大上网便利性--不管是在办公室、会议室还是在空间复杂车间,职员全部能和网络保持连接,随时随地访问企业资源,而且能够简化场所网络布线。
安全无线网络处理方案不仅能提升职员生产效率和协作能力,也能为合作伙伴/用户提供方便上网服务。
依据企业情况,能够采取FATAP方案:
1)无线网络需求:
能够取得较高用户接入速率,构建便利移动办公环境,实现企业移动网络办公,成本投入不高,适合简单、小规模无线布署。
2)计划方案:
采取WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x认证,能够实现基于时长、流量和包月计费;
整网经过iMC统一管理。
无线
无线接入
WA1208E
双802.11g无线模块
8
各楼层
无线安全
H3CCAMS
满足用户管理、身份认证、权限控制和计费要求
无线管理
H3CiMC网管系统
支持和HPOpenview、SNMPc等通用网管平台集成
全方面支持802.11i安全机制、802.11eQoS机制、802.11fL2切换机制;
大范围覆盖:
高接收灵敏度,达成-97dBm(一般AP-95dBm),确保更远覆盖;
多VLAN支持:
虚拟AP方法支持多VLAN,最多支持8个虚拟SSIDVLAN划分,每个VLAN用户能够独立认证;
兼作网桥使用:
WDS模式支持PTP、PTMP工作模式;
支持连接速率锁定、传输报文整合,提升传输效率;
负载均衡:
支持基于用户数负载均衡、基于流量负载均衡;
针对各类室外、特殊室内应用如仓库等复杂环境,能够提供专门型号。
广域网互联VPN计划方案
伴随企业和企业不停扩张,企业分支机构及用户群分布日益分散,合作伙伴日益增多,越来越多现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN应用奠定了宽广市场。
在VPN方法下,VPN用户端和设置在内部网络边界VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采取身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而确保数据完整性、机密性和正当性。
经过VPN方法,企业能够利用现有网络资源实现远程用户和分支机构对内部网络资源访问,不仅节省了大量资金,而且含有很高安全性。
另外,伴随企业规模扩大,分散办公也越来越普遍,怎样实现小型分支、出差职员、合作伙伴远程网络访问也被越来越多企业关注。
从成本、易用性、易管理等多方面综合考虑,SSLVPN无疑是一个最适宜方案:
只需要在总部布署一台设备,成本更低,管理维护也很轻易;
无需安装用户端、无需配置,登陆网页就能使用。
1)网络需求
1IPSecVPN和SSLVPN各有所长,功效互补,对企业来说全部是需要:
IPSecVPN用于总部和中大型分支互连,SSLVPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。
但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,造成性能下降、管理困难。
2)计划方案
融合VPN针对企业实际需要,一台设备融合IPSec/SSL两种VPN,只需布署在总部,既能够用于为合作伙伴、出差人员提供远程网络访问,也能够和分支机构进行IPSecVPN互连,帮助企业降低采购、布署、维护三方面成本。
VPN网关选择方面,H3C防火墙、路由器全部能够实现融合VPN,提供给企业愈加灵活选择。
比如,假如企业很强调网络安全、VPN性能,就选择防火墙;
假如企业更重视多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端VPN网关建立IPSecVPN隧道,进行数据封装、加密和传输;
另外,经过总部VPN网关提供SSLVPN接入业务;
在总部局域网数据中心布署H3CVPNManager组件,实现对VPN网关布署管理和监控;
在总部局域网内部或Internet边界布署H3CBIMS系统,实现对分支机构VPN网关设备自动配置和策略布署。
以下图:
网络互连
VPN网关
H3CSecPathF1000VPN网关
H3CSecPathF100VPN网关
或
H3CMSR50路由器
H3CMSR20-1X路由器
总部和大型机构配置F1000型号
中小型机构配置F100型号
总部1台
分支机构按需求配置
网络管理
H3CVPNManager
H3CBIMS
帮助用户布署、管理VPN网络
假如省内分支机构较多、较分散,但对速率要求不高连锁型单位,也能够选择电信或ISP商VPDN服务;
假如多个分支机构间有多点对多点通信需求企业、商业机构,也能够直接选择电信或ISP商MPLSVPN服务。
网络性能指标要求
类型
带宽要求
线路质量要求
局域网
用户端到服务器:
10Mb以上,推荐100Mb
各服务器之间:
200M以上,推荐1000Mb
丢包率小于0.1%
延迟小于20ms
广域网
分支机构带宽:
每用户端128Kb
总部出口带宽:
(最大并发数/3)×
128Kb
总部服务器之间:
丢包率小于2%
延迟小于50ms
网络安全计划
网络安全是整个系统安全运行基础,是确保系统安全运行关键。
网络系统安全需求包含以下多个方面:
网络边界安全需求
入侵监测和实时监控需求
安全事件响应和处理需求分析
这些需求在各个应用系统上不一样组合就要求把网络分成不一样安全层次。
我们针对企业网络层安全策略采取硬件保护和软件保护,静态防护和动态防护相结合,由外向内多级防护总体策略。
依据安全需求和应用系统目标,整个网络可划分为六个不一样安全层次。
具体是:
关键层:
关键数据库;
安全层:
应用信息系统中间件服务器等应用;
基础安全层:
内部局域网用户;
可信任层:
企业本部和营业部网络访问接口;
危险层:
Internet。
信息系统各安全域中安全需求和安全等级不一样,网络层安全关键是在各安全区域间建立有效安全控制方法,使网间访问含有可控性。
具体安全策略以下:
关键数据库采取物理隔离策略
应用系统采取分层架构方法,用户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了关键层数据高度安全。
应用系统中间件服务器采取综合安全策略:
应用系统中间件安全隐患关键来自局域网内部,为了保障应用系统中间件服务安全,在局域网中可经过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间访问控制能力。
同时,中间件服务器本身能够经过配置对应安全策略,限定经过授权工作站、用户方能访问系统服务,保障了中间件服务器安全性;
内部局域网采取信息安全策略:
企业本部及营业部内部局域网处于基础安全层网络,关键是对于安全防护能力较弱终端用户在使用,所以考虑关键在于两个方面,一个是用户端病毒防护,另一个是预防内部敏感信息对外泄露。
所以,经过选择网络杀毒软件达成内部局域网病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效安全防护,经过访问控制ACL等安全策略配置,有效地控制内部终端用户和外部网络信息交换,实现内部局域网信息安全。
企业本部和下属机构之间网络接口采取通讯安全策略:
处于可信任层网络,其安全关键考虑各下属单位上传业务数据保密安全,所以,可采取数据层加密方法,经过硬件防火墙提供VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,因为Internet存在着大量恶意攻击,所以考虑关键是要避免涉密信息在该层次中流动。
经过硬件防火墙提供专业网络防护能力,并对全部访问请求进行严格控制,对全部数据通讯进行加密后传输。
同时,提议设置严格机房管理制度,严禁非授权人员进入机房,也能够深入提升整个网络系统安全。
1)广域网安全计划
企业广域网安全,关键是经过防火墙和VPN等设备或技术来保障。
防火墙对流经它网络通信进行扫描,能够过滤掉部分攻击,防火墙还能够关闭不使用端口,防火墙含有很好保护作用,入侵者必需首先穿越防火墙安全防线,才能接触目标计算机,所以出于安全考虑,企业必需购置防火墙以确保其服务器安全,将应用系统服务器放置在防火墙内部专门区域。
通常硬件防火墙比软件防火墙性能愈加好,提议选择企业级硬件防火墙,硬件防火墙市场著名度高品牌有CISCO、CheckPoint、Juniper、H3C、天融信、华为赛门铁克、联想网御等,用户应依据应用情况选择适宜防火墙。
VPN即虚拟专用网(VirtualPrivateNetworks)提供了一个经过公共非安全介质(如Internet)建立安全专用连接技术。
使用VPN技术,甚至机密信息全部能够经过公共非安全介质进行安全传送。
VPN技术发展和成熟,可为企业商业运作提供一个无处不在、可靠、安全数据传输网络。
VPN经过安全隧道建立一个安全连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展企业网络。
VPN基础特征:
使企业享受到在专用网中可取得相同安全性、可靠性和可管理性。
网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
能够经过Extranet连接企业合作伙伴、供给商和关键用户(建立绿色信息通道),以提升用户满意度、降低经营成本。
VPN实现方法:
硬件设备:
带VPN功效模块路由器、防火墙、专用VPN硬件设备等,如Cisco、H3C、深信服、天融信等。
软件实现:
Windows自带PPTP或L2TP、第三方软件(如CheckPoint、深信服等)。
服务提供商(ISP):
中国电信、联通、网通等。
现在部分ISP推出了MPLSVPN,线路质量更有确保,推荐使用。
2)内网安全计划
企业内网安全系统包含防病毒系统、内网安全管理系统,上网行为管理系统等。
防病毒系统能够采取网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等处理方案)。
内网安全系统和上网行为管理系统能够选择深信服、任子行、IP-guard等处理方案,企业能够经过布署内网安全系统实现研发网和商业信息信息安全防范工作。
对于研发网信息安全、数据集中存放和计算资源统一协调配置,能够经过布署企业桌面虚拟化处理方案来实现。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 基础 架构 规划 方案 专项